seit einigen Tagen versucht eine EXE ständig über den IE Zugriff auf das Internet herzustellen. Mit jedem Neustart hat dieses Prog. einen anderen Namen - ist aber nicht unter ../system32 zu finden, wo Norton die Quelle dafür sieht - Namen, wie goine.exe, gvook.exe, jlcxn.exe, uocbm.exe...... blockiere diesen Zugriff natürlich
mit hijackthis finde ich diese, kann diese löschen, kommen aber mit jedem Start wieder - unter anderen Namen - kann mir jemand von Euch sagen was ich hier noch machen kann -- adaware, spybot SD, registry cleaner finden nichts????
mfg und danke für Eure Hilfe - carlmeister1
Viren, Spyware, Datenschutz 11.258 Themen, 94.807 Beiträge
Hallo,
suche mal bitte mit dem Regedit nach:
HKEY-LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Wenn eine verdächtige *.EXE beim Systemstart gestartet wird, dann steht sie da drin.
Lösche bitte den Eintrag auf der rechten Seite, starte neu und lösche diese *.EXE. Und gut isses.
MfG. Hexagon
Hi hexagon,
danke, aber dort stehen nur bekannte und erlaubte Programme - habe dies eben über das Internet noch einmal geprüft... hast Du ev. noch einen Tip?
mfg carlmeister
Hallo,
weisst Du denn wie diese *.EXE im Moment heisst die da in Deinem System für Unfug sorgt? Taskmanager > Prozesse ....
Wenn Du das weisst, dann suche mal mit dem Regedit nach dieser *.EXE und lösche den Eintrag.
MfG. Hexagon
das Verrückte an der Sache ist, ich habe sie alle gesucht, jetzt scgih.exe, ist aber auf dem ganzen Rechner nicht zu finden.. das ist mein Problem ... ich bin bestimmt nicht ganz unbelegt mit Rechnerproblemenn, nur hier stehe ich vor einem Rätsel - die EXE sucht nach 85.255.117.134 - kann ich auch nicht identifizieren... nur hijackthis findet diese immer unter system32, kein anderes Prog kann das .. strange??? kann sie damit löschen, kommt aber wieder...woher??
mfg carlmeister1
Hallo,
noch ein Tipp der mir dazu einfällt:
Die *.EXE kann ja einen Namen besitzen z.B. irgendwas.exe. Die irgendwas.exe kopiert sich dann in eine neue Datei meinet wegen scgih.exe. Sobald aber scgih.exe gestartet wurde löscht sie sich wie ein Selbstvernichter auf der Platte. So nach dem Motto. Jedoch befindet sich in der irgendwas.exe ein Zufallsgenerator der dieser Kopie bei jedem Systemstart einen neuen Namen gibt.
Das wäre meine Erklärung dazu.
Ich würde die koplette Platte nach *.exe durchsuchen und dann nach Datum und Uhrzeit sortieren lassen und die *.exe die verdächtig erscheint löschen.
MfG. Hexagon
vielen Dank!
.. habe dies vermutet und auch überall gesucht, wird aber nur von hijackthis gefunden, was Datum und Uhrzeit nicht mitliefert.. diskutiere das einmal mit meinen Kollegen von IT..
nochmals - Danke
Im Zweifelsfalle würde ich das System neu aufsetzen - nur so kannst du sichergehen, dass sich keine Malware mehr auf deinem PC befindet.
Schonmal Microsoft AntiSpyware schonmal versucht?
Mit einem derart infiziertem (korrumpierten) System würde ich nicht mehr ins Internet gehen. Hier hilft mit Sicherheit nur eine Formatierung/Neuinstallation.
Einen mit Schadprogrammen infizierten PC wieder sauber zu bekommen, das schaffen meiner Meinung nach nur naive Anfänger. Fachleute nicht.
Hab hier mal was gesammelt und zusammengefaßt dazu.
Jürgen
Bin bestimmt nicht der Experte, aber irgendwie drängt sich der Verdacht auf, daß Du Dir einen Virus/Trojaner im Bootbereich Deiner Systemparition eingefangen hast, welcher bei jedem booten eine *.exe erzeugt, welche dann wiederum versucht online zu gehen (warum auch immer).
Mit dem Anti-Virus-Kit von G-Data konnte ich ein ähnliches Problem lösen: AVK erlaubt Dir, eine bootfähige CD zu erstellen, mit deren Hilfe kannst Du dann den Bootsektor unter Linux auf Viren u.ä. scannen. Ist vielleicht einen Versuch wert, aber wie gesagt, ich bin kein Experte, eher ein naiver Anfänger ;-)
m.f.G. muerte
solchen Fall. den PC neu aufzusetzen.
ich bin eben sehr ergeizig und sicherlich keine Anfänger - habe es geschafft ...mit a-squared Anti-Malware.. ist unglaublich besser als Norton, Stinger, McAfee und die oben bereits erwähnten Programme - der Trojaner hatte sich in den restores von Windows versteckt (Daten für die Wiederherstellungsfunktion) ....selbst Kaspersky war machtlos... Danke für Eure Hilfe und Anregungen - der Tip mit Malware war der Auslöser genau nach einem Programm mit solchen Namen zu suchen - die 30 Tage - Version reicht für's Erste, nun muss ich mir Gedanken machen eine wirklich gute Firewall und Klasse Virenschutzprogramm zu finden.
MfG carlmeister1
Besser als Microsoft.
"...Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig. Das heißt, das alle Daten manipuliert sein könnten, das alle Programme manipuliert sein könnten und das alle Informationen, die auf dem System gespeichert waren oder verarbeitet worden sind, an Dritte weitergegeben worden sein könnten."
Jürgen
Er wird es auch diesmal nicht begreifen. Er ist halt ein Anfänger. Eigentlich könnte er ein typischer Fall für Murphy werden. Es ist ja nun wirklich nicht gesagt, dass das System tatsächlich komplett kompromittiert ist. Seine Chance steht wahrscheinlich 1 zu 100, vielleicht gar 1 zu 1000, aber er wird sie nutzen. Die, die ebenfalls auf seinem PC sein könnten, werden ein gleiches tun. Wer es nicht wahrhaben will, der wird durch Schaden klug. Schade dabei ist nur, dass Dummheit dazu führt, dass unnötig Traffic oder gar noch schlimmeres Zombiegetue durch seine Uneinsichtigkeit im Netz schwirren wird. Manche erheben ihre eigene Meinung halt über den Tatsachenstand der momentanen Erfahrungen und bereichern und bestätigen diese dadurch immer wieder. Traurig, aber überaus wahr.
Auch und gerade deshalb mal wieder:
- einen Link gespeichert.
http://www.rp-online.de/public/magazin/comments/nachrichten/multimedia/computer/330495
Die haben doch glatt vergessen >>...mit a-squared Anti-Malware.. Jürgen
Weil es so schwer zu begreifen scheint, schieb ich einfühlsam noch das hier hinterher:
http://tinyurl.com/hrjxm
Hauptaugenmerk legen wir dabei auf den letzten Satz des Artikels.
Allerdings, manch einer kapiert es auch dann noch nicht:
Herzichen Glückwunsch, Du hast Dir da was echt übles eingefangen. Wenn es das Teil ist, das ich vermute, dann wirst Du mit einer Neuinstallation wirtklich am Besten bedient sein und mit HijackThis oder Virenscanner ist da nicht viel auszurichten.
Vorausgesetzt es ist das Teil, dass ich meine, hat es sich als Gerätetreiber installiert und nutzt Rootkitfunktionen, Du wirst ihm also nur im abgesicherten Modus beikommen (und da nur mit viel Glück, da der Treiber auch im abgesicherten Modus startet). Versuche mal mit Blacklight oder Rootkitremover noch einen Scan und berichte einmal, was die Programme melden.